O caso Pegasus entre a espionagem digital global e as urgentes mensagens para o Brasil

Como largamente divulgado pela imprensa e blogs especializados, a empresa israelense NSO Group desenvolveu uma ferramenta de espionagem digital, chamada Pegasus, que foi usada para grampear smartphones e figuras públicas importantes, incluindo jornalistas, ativistas de direitos humanos e executivos ao redor do globo. Na semana que passou, o Alto Comissariado de Direitos Humanos da ONU publicou nota sobre a preocupação global em episódios que também envolvem o Brasil.  A nova ferramenta computacional tem o poder de invadir celulares, computadores e outros sistemas apenas com o clique de uma mensagem, ou com a abertura de vídeos enviados em um grupo de WhatsApp. Uma vez instalado no dispositivo, o Pegasus permite que controladores e invasores tenham acesso a qualquer tipo de dado disponível naquele aparelho, inclusive o uso do microfone e câmera.

Em virtude da escalada global do autoritarismo digital, com a presença de leis e projetos de leis que restringem as liberdades na internet e legitimam retenção de dados e remoção de conteúdo (a exemplo, da Turquia, Hungria, Polônia e Índia), governos de vários países estarão estimulados a utilizar software de espionagem online, como o Pegasus. Ele tem sido comercializado a agências de inteligência nacionais, com o objetivo de coletar dados de suspeitos de crimes e terrorismo. No entanto, segundo análise forense realizada pela Anistia Internacional, houve abuso no uso da ferramenta em relação a 37 dos alvos desses grampos, pelo menos.

Outros riscos estão associados ao suposto uso de Pegasus pelo governo brasileiro sob o fundamento de combate à criminalidade organizada na internet, apesar de o próprio Congresso Nacional estar com a receita pronta – e legalmente prevista – ao priorizar a apreciação do Projeto de Decreto legislativo que aprova a Convenção de Budapeste sobre o Crime Cibernético de 2001 (PDL 255/2021). A esperada adesão do Estado brasileiro ao tratado, administrado pelo Conselho da Europa, posiciona o Brasil entre os principais países do amplo sistema de cooperação internacional em matéria criminal na internet, contribuindo também com salvaguardas necessárias para que ferramentas de espionagem não sejam utilizadas.

Dito de outra forma, o regime da Convenção de Budapeste, à parte das críticas que possam ser formuladas quando aos riscos de rebaixamento de direitos civis e políticos de usuários da internet, além de garantias processuais em ações de investigação e persecução, direciona os governos e autoridades de cooperação a caminhos institucionais no combate à criminalidade transnacional. Não se justifica, portanto, uso de software espião para essa finalidade. Se essa for a escolha, positivamente, os direitos de cidadãos comuns estariam em perigo, gravemente ameaçados.

Parece ser necessário que as autoridades de aplicação da lei, Legislativo e Judiciário brasileiros estejam atentos à movimentação eventual de setores do Executivo brasileiro quanto à aplicação do Pegasus no combate ao crime organizado. Seria também interessante e oportuno que a empresa NSO Group, desenvolvedora e distribuidora do programa, prestasse informações sobre as transações feitas em nível global e aquelas que dizem respeito ao Brasil, porque a ela deve ser concedido o espaço de debate. Outra frente seria a de auditoria externa, por parte da CGU, e controle e órgãos do Judiciário, de eventuais processos administrativos, como licitações e pregões, existentes para aquisição de produtos ou serviços associados a tecnologias de monitoramento de cidadãos.

Como já relatado pela ONU, existem muitas razões para preocupação de organizações da sociedade civil, empresas de internet e usuários a respeito dos riscos e uso indevido de software e outros dispositivos de espionagem online. Há tempos que são denunciados, como fazem indicadores da Human Rights Watch e Freedom on the Net, as ações resultantes de emprego tecnológico digital para aprisionamento, intimidação e assassinato de jornalistas e ativistas de direitos humanos, além dos efeitos sobre autocensura. Cidadãos se calam ou são silenciados pelo temor de que algo grave possa acontecer.

Por isso que, tecnicamente, há fundamentos para que a sociedade brasileira expresse desconfiança e receios em torno de tecnologias digitais como o Pegasus. Elas permitem intrusões extremamente complexas em dispositivos móveis, obtendo acesso a todas as informações pessoais e registro das interações de usuários na vida digital e fora dela. O uso de tecnologias de monitoramento para além de contextos aceitáveis, como investigação de crimes graves e ameaças à segurança, incentiva violações à privacidade de cidadãos. Como direito fundamental que é, a privacidade deveria ser garantida e protegida pelos governos, e não barganhada como moeda de troca em ações descoordenadas e seletivas de perseguição.

Evidentemente, há riscos também associados à própria segurança dos titulares dos dados e segurança cibernética, como hackeamento e vazamento, além de monitoramento a opositores políticos, acadêmicos, jornalistas e integrantes de movimentos sociais. Ameaças telefônicas, digitais, sequestros e mortes são apenas algumas das consequências que poderiam ocorrer em massa com tecnologias de vigilância e retenção de dados. São usos que apresentam uma clara ameaça à sociedade em geral e à democracia, inibindo um trabalho de interesse público, como é o dos jornalistas, e a privacidade dos cidadãos, uma vez que são monitorados sem conhecimento e consentimento.

Em um cenário global de utilização do Pegasus, há algumas recomendações a serem feitas que se aplicam ao caso brasileiro. O Conselho de Direitos Humanos da ONU tem se posicionado a respeito. Em primeiro lugar, empresas que desenvolvem e distribuem tecnologias de vigilância devem realizar estudos de impactos e processos de auditoria em direitos humanos (“human rights due diligence”), a fim de mitigar e remediar os danos de seus produtos, serviços e soluções digitais e computacionais, e evitar consequências graves agora e no futuro. Estados, por sua vez, devem exigir, por lei e segundo suas constituições e obrigações internacionais, que as empresas cumpram responsabilidades em relação às garantias de direitos e liberdades fundamentais. Principalmente, devem reforçar a transparência de projetos e uso ético e sustentável de produtos digitais, além de implementação de mecanismos eficazes de responsabilização interna relativamente a desenvolvedores.

Por outro lado, também se justifica a regulamentação mais intensiva em relação à venda, transferência e uso de tecnologias de vigilância, de modo a assegurar controle e consentimento por parte de cidadãos. Como já alertou a Comissária da ONU e ex-Presidenta do Chile, Michele Bachellet, os governos devem cessar imediatamente o uso de tecnologias de vigilância que violem os direitos humanos e adotar atitudes concretas para a proteção contra violações da privacidade. Essas medidas minimizam a distribuição, uso e exportação de tecnologia de vigilância criada por empresas específicas, bem como sua circulação em escala transnacional.  No Brasil, a resposta também passa pelos instrumentos reforçados de aplicação do Marco Civil da Internet pelas autoridades e Judiciário, de modo a zelar para que direitos de usuários de internet, incluindo privacidade online, sejam plenamente assegurados e respeitados nas interações digitais. Mais uma vez, é inadmissível que empresas e governos desenvolvam e utilizem tecnologias para monitoramento e vigilância de cidadãos no ambiente online e offline, especialmente em virtude de orientações políticas divergentes.

*Fabricio Bertini Pasquot Polido é advogado; Sócio de Inovação & Tecnologia e Solução de Disputas em L.O. Baptista; Professor associado de Direito Internacional, Direito Comparado e Novas Tecnologias da Universidade Federal de Minas Gerais (UFMG); e Doutor em Direito Internacional pela Universidade de São Paulo (USP)